보안 결함 AI 보안 클로드 미토스 파이어폭스 취약점 패치 브라우저 보안 보안 업데이트 프론티어 AI Mozilla

모질라가 발표한 최신 Firefox 보안 업데이트는 AI 기술이 공격자보다 먼저 방어 시스템에 적용될 때 어떤 일이 벌어지는지를 보여주는 희귀한 사례다. 모질라는 지난 4월 AI 도구 '클로드 미토스 프리뷰(Claude Mythos Preview)'를 도입한 후 불과 한 달 만에 423개의 Firefox 보안 결함을 수정했다고 밝혔다. 이는 지난 14개월 동안 수정한 약 420개의 결함을 단 한 달 만에 해결한 성과로, 보안 방어 시스템의 혁신적 변화가 나타났다.

특히 주목할 점은 이 과정에서 20년 된 오래된 결함이 발견됐다는 사실이다. 그중 하나는 버그 2025977으로, XSLT 재진입(reentrancy) 문제로 인해 해시 테이블 재해시가 발생하고 메모리 해제 후에도 사용 중인 포인터가 남아 있는 취약점이었다. 또 다른 하나는 버그 2024437으로, HTML legend 요소의 15년 된 결함이었다. 이러한 결함들은 오래된 서브시스템, 복잡한 상호작용, 또는 일반적인 테스트나 퍼징(fuzzing)으로는 발견되지 않았던 엣지 케이스에 숨어 있었다.

모질라는 클로드 미토스 프리뷰를 통해 Firefox 150 릴리스에서 271개의 결함을 식별·수정했으며, 추가로 Firefox 149.0.2, 150.0.1, 150.0.2에서도 보안 패치를 배포했다. 이 중 180개는 'sec-high' 등급, 80개는 'sec-moderate', 11개는 'sec-low' 등급으로 분류됐다.

2025년 초반까지는 매달 20~30개의 보안 결함이 수정됐지만, 2026년 2~3월에는 60~70개로 증가했고, 4월에는 423개로 급증했다. 모질라의 보안 심각도 프레임워크에 따르면 'sec-high' 등급은 일반 사용자가 웹페이지를 방문하는 등 정상적인 행동만으로도 악용될 수 있는 취약점으로 분류된다. 이처럼 심각한 결함이 오랫동안 방치됐다는 사실은 Firefox와 같은 오랜 기간 검증된 브라우저에서도 예외가 아니라는 점을 시사한다.

모질라는 AI가 생성한 보안 보고서가 오픈소스 프로젝트에서 높은 오류율을 보였던 과거와 달리, 이제는 모델이 발전하고 자동화 파이프라인이 구축되면서 오류를 걸러내고 중복된 findings를 제거하는 등 실질적인 보안 강화에 기여하고 있다고 설명했다. AI는 발견력을 제공하고, surrounding system(자동화 파이프라인)이 이를 검증 가능한 보고서와 패치로 변환하는 역할을 했다.

모질라의 기술 문서에 공개된 샘플 중에는 WebAssembly GC 버그가 있었는데, 이는 가짜 객체 프리미티브를 생성해 임의 읽기/쓰기 공격을 가능하게 할 수 있는 취약점이었다. 또한 IPC 경쟁 조건(IPC race condition)으로 인해 부모 프로세스의 참조가 영향을 받는 문제도 확인됐다.

출처: CryptoSlate
ZF 8단 변속기 관리법: 정비 주기 및 비용 절감 팁
← 이전

ZF 8단 변속기 관리법: 정비 주기 및 비용 절감 팁

 타이 심슨 "맥베이 감독의 그루피한 모습 못 봤어요"…맥베이 감독은 "화났었다"고 시인
다음 →

타이 심슨 "맥베이 감독의 그루피한 모습 못 봤어요"…맥베이 감독은 "화났...